Jetons d’actualisation

Auth0 émet un jeton d’accès ou un jeton d’ID en réponse à une demande d’authentification. Vous pouvez utiliser des jetons d’accès pour effectuer des appels authentifiés à une API sécurisée tandis que le jeton d’ID contient les attributs du profil utilisateur représentés sous forme de demandes. Les deux sont des jetons Web JSON (JWT) et par conséquent ont des dates d’expiration indiquées en utilisant la demande exp, ainsi que des mesures de sécurité, comme des signatures. Généralement, un utilisateur a besoin d’un nouveau jeton d’accès lorsqu’il accède à une ressource pour la première fois ou après l’expiration du jeton d’accès précédemment accordé.

Un jeton d’actualisation OAuth est un artefact d’authentification qu’OAuth peut utiliser pour obtenir un nouveau jeton d’accès sans nécessiter l’intervention de l’utilisateur. Cela permet au serveur d’autorisation de raccourcir la durée de vie du jeton d’accès à des fins de sécurité sans impliquer l’utilisateur lorsque le jeton d’accès expire. Vous pouvez demander de nouveaux jetons d’accès jusqu’à ce que le jeton d’actualisation soit sur la liste de refus (DenyList).

Il est important de maintenir le nombre de jetons d’actualisation dans une limite raisonnable et gérable afin de garantir une gestion sécurisée et facile de ces informations d’identification. Les applications doivent stocker les jetons d’actualisation de manière sécurisée étant donné qu’ils permettent fondamentalement à un utilisateur de rester authentifié de manière permanente.

Vous pouvez augmenter la sécurité en utilisant une rotation des jetons d’actualisation, qui émet un nouveau jeton d’actualisation et invalide le jeton précédent à chaque demande faite à Auth0 pour un nouveau jeton d’accès. La rotation du jeton d’actualisation réduit le risque d’un jeton d’actualisation compromis.

Auth0 limite le nombre de jetons d’actualisation actifs à 200 par utilisateur et par application. Cette limite ne s’applique qu’aux jetons actifs. Si la limite est atteinte et qu’un nouveau jeton d’actualisation est créé, le système révoque et supprime le jeton le plus ancien pour cet utilisateur et cette application. Les jetons retirés et expirés ne comptent pas dans la limite. Pour consulter nos recommandations et meilleures pratiques pour éviter les excès de jetons, consultez Meilleures pratiques en matière de jetons.

Le comportement du jeton d’actualisation est applicable aux applications conformes à l’OIDC. Vous pouvez configurer une application pour qu’elle soit conforme à OIDC de l’une des manières suivantes :

1. Activer le drapeau Conforme OIDC pour une application.

2. Passer une demande audience au point de terminaison /authorize de l’Authentication API.

Les trousses SDK Auth0 prennent en charge les jetons d’actualisation, notamment en :

• Node.js

• ASP.NET Core

• PHP

• Java

Pour une liste complète, consultez Démarrages rapides.

Assurer une authentification sécurisée dans les applications monopages (SPA) présente plusieurs défis en fonction du cas d’utilisation de votre application. Les nouveaux contrôles de confidentialité du navigateur, tels que la Prévention intelligente du suivi (ITP), ont un impact négatif sur l’expérience utilisateur dans les applications monopages (SPA) en empêchant l’accès aux témoins tiers.

Auth0 recommande d’utiliser la rotation des jetons d’actualisation qui offre une méthode de sécurité pour utiliser des jetons d’actualisation dans les applications monopages (SPA) tout en offrant aux utilisateurs finaux un accès fluide aux ressources sans perturbation de l’expérience utilisateur causée par les technologies de confidentialité du navigateur telles que l’ITP.

Pour les applications natives, les jetons d’actualisation améliorent considérablement l’expérience d’authentification L’utilisateur ne doit s’authentifier qu’une seule fois, via le processus d’authentification web. Les réauthentifications ultérieures peuvent se produire sans interaction de l’utilisateur, en utilisant le jeton d’actualisation.

Pour plus de renseignements sur l’utilisation des jetons d’actualisation avec nos trousses SDK mobiles, consultez :

• Guides de démarrage rapide pour mobiles/natifs

• Lock Android : actualiser les jetons JWT

• Lock iOS : sauvegarder et actualiser les jetons JWT

• Obtenir des jetons d’actualisation
• Utilisation des jetons d’actualisation
• Révoquer les jetons d'actualisation
• Rotation des jetons d’actualisation
• Configurer le délai d’expiration du jeton d’actualisation
• Meilleures pratiques concernant les jetons